HELSINKI/OSLO (Nettavisen): Tiden rundt 1. april var hele internettverdenen nærmest oppslukt i fenomenet Conficker, som er en av de mest aggressive formene for skadelig programvare som vi har sett på flere år.

Antiklimaks
På det meste var 12 millioner datamaskiner verden over infisert, men ingen forsto helt hva hensikten med ormen var. Det eneste man visste var at 1. april så ville Conficker endre oppførsel. En oppdatering ville komme, og mange fryktet at datamaskinene kunne gjennomføre et koordinert angrep mot sentral infrastruktur.

1. april kom, og ingenting skjedde, nettopp slik sikkerhetsekspertene hadde spådd. F-secures sikkerhetsekspert Mikko Hyppönen gikk ut høylytt og fortalte verden at ingenting sannsynligvis ville skje på «D-dagen», og at det var mye mer sannsynlig at noe ville skje noen dager senere når ingen forventet det.

Oppdaterte seg i påsken
Og han hadde rett. Det gikk en uke, og mens de fleste hadde begynt sin påskeferie, så oppdaterte viruset seg.

Men det var ikke snakk om noe globalt angrep. I stedet lastet mange av de infiserte datamaskinene ned et falsk antivirusprogram kalt SpywareProtect 2009. Og som de fleste andre falske antivirusprogrammer er hovedhensikten å få brukeren til å «registrere» programmet ved å betale noen titalls dollar.

Millioner av infiserte PC-er
Nettavisen har den siste tiden snakket med sikkerhetseksperter hos både F-secure og Trend Micro. Begge selskapene bekrefter at selv om det har vært stille rundt ormen siden påsken, så er den langt fra død.

Bare på tirsdag var det registrert nesten 4,8 millioner unike IP-adresser i verden med infiserte datamaskiner. Men siden Conficker i stor grad har infisert bedriftsnettverk, og svært mange bedriftsnettverk bare har én IP-adresse ut på internett, selv med tusenvis av datamaskiner, så er det totale antallet betydelig høyere.

- Vi regner med at det i dag er rundt 10 millioner infiserte datamaskiner på verdensbasis, sier Jöerg Schneider-Simon i Trend Micro til Nettavisen.

Gjør ingenting for øyeblikket
Men hvorfor står rundt 10 millioner infiserte datamaskiner rundt i hele verden og ikke gjør noe som helst? Skal vi tro både Schneider-Simon og Mikko Hyppönen så er årsaken til at vi ikke har sett noen større aktivitet fra Conficker den siste tiden at bakmennene ikke har kommet i kontakt med sitt eget nettverk av infiserte datamaskiner.

Conficker fungerer på den måten at den hver dag forsøker å kontakte en av 50.000 helt tilfeldige domenenavn som genereres hver eneste dag for å få nye instruksjoner. Det foregår derfor i kulissene en intens kamp for å hindre at bakmennene faktisk skal klare å opprette noen av disse domenenavnene, for dermed å hindre de å kommunisere med de infiserte datamaskinene.

- Sist gang de klarte å oppdatere maskinene var i begynnelsen av april gjennom et domenenavn de hadde registrert på forhånd, forteller Mikko Hyppönen til Nettavisen.

Bakmennene har likevel mulighet til å kommunisere med deler av maskinene gjennom direktekontakt mellom noen av de infiserte datamaskinene, men dette systemet skal fungere relativt dårlig, og dermed ikke være noe stort problem.

Infiserte PC-er blir ikke renset
Et av de store paradoksene med Conficker er at det har vært utrolig mye oppmerksomhet rundt det, men likevel faller ikke antallet infiserte datamaskiner i nærheten av så fort som en skulle tro. Det ville vært naturlig å tro at etter tre måneder med massiv oppmerksomhet rundt et enkelt virus, så ville de fleste ha sjekket om de er infisert og i så fall fjernet det.

- Problemet er at Conficker er utrolig motstandsdyktig. Det gjør endringer på datamaskinen som sørger for at det starter hver eneste gang Windows starter, og det skrur aktivt av alle oppdateringsprosesser, stopper antivirusverktøy og blokkerer tilgangen til nettsidene til sikkerhetsrelaterte selskaper, forteller Jöerg Schneider-Simon.

Conficker benytter seg altså av en helt annen forsvarsteknikk enn Mebroot, som vi tidligere har omtalt. For mens Mebroot praktisk talt er umulig å oppdage i utgangspunktet, er Conficker relativt enkelt å oppdage, men kjemper hardt for at verktøyene som kan oppdage den faktisk har muligheten til å installere seg på datamaskinen din.

Tror noe vil skje igjen
- Det er naivt å tro at bakmennene nå bare vil legge bort og glemme disse 10 millionene datamaskinene, og sannsynligvis er det bare et tidsspørsmål før de igjen får kontakt med alle sammen igjen, sier Mikko Hyppönen.